Website-Icon AWEOS

WordPress Sicherheit: 6 häufige Sicherheitsprobleme und Lösungen vorgestellt

Wordpress Sicherheit

Ist WordPress unsicher?

Viele Kunden fragen uns, ob sich WordPress für sie eignet und haben Bedenken wegen der Sicherheit. Oft haben sie von anderen IT-Dienstleistern oder Freunden gehört, WordPress-Websites seien unsicher und besser ein anderes Content-Management-System (CMS) genutzt werden sollte. Doch stimmt das?

Basierend auf unserer Erfahrung als Werbeagentur, die ihre Websites hauptsächlich auf WordPress aufbaut, sind wir der Meinung, dass dem weltweit meistgenutzten CMS (über 60% Marktanteil, Quelle: W3Techs) hier Unrecht getan wird. Oft liegen die Sicherheitsprobleme nämlich an einer Reihe von Faktoren, wie zum Beispiel der Vernachlässigung von Updates, der großen Verbreitung von WordPress und der Nutzung unsicherer Plugins. In diesem Beitrag erklären wir Ihnen, was es mit den gängigen Vorurteilen zu WordPress als unsicheres CMS auf sich hat und wie Sie die WordPress-Sicherheit verbessern können.

Die 6 häufigsten WordPress-Sicherheitsprobleme

Nachfolgend finden Sie einen Überblick über die häufigsten Sicherheitsprobleme bei WordPress-Websites. Auffällig dabei ist, dass viele der Punkte keine WordPress-spezifischen Probleme sind, sondern haben häufig mit mangelnder Wartung zu tun. Denn anders als bei Ihrem Auto, gibt es keine Pflicht eine Website alle paar Jahre zum TÜV zu schicken. Doch gerade durch regelmäßige Wartungsmaßnahmen wie Updates kann ein großer Teil der Sicherheitsprobleme bereits behoben werden.

  1. Nicht aktualisierte WordPress-Installationen
  2. Verwendung von unsicheren und veralteten Erweiterungen oder Themes
  3. Falsche Verwendung von Benutzerrechten
  4. Einfache Login-Passwörter / Brute-Force 
  5. Kein SSL-Zertifikat genutzt
  6. Falsch gesetzte Datei- und Serverrechte

Außerdem sehen Sie in der Liste noch Punkte, die mit dem Verhalten der Benutzer zu tun haben. Um bei der Auto-Analogie zu bleiben: Sie würden Ihr Auto auf keinen Fall nicht abgeschlossen an einer stark frequentierten Hauptstraße stehen lassen. Oder Ihren Autoschlüssel auf dem Dach liegen lassen, wo ihn jeder Passant nehmen kann.

Doch genau das ist das Internet: eine viel befahrene Straße, an der auch zahlreiche Individuen mit krimineller Energie unterwegs sind. Daher ist es klug Ihre Website an allen möglichen Fronten gegen Hacker und Malware abzusichern. Wir erklären Ihnen welche Möglichkeiten es gibt um die bekannten Risiken zu minimieren.

Darum sind WordPress-Updates so wichtig

Ihr Fahrzeug bringen die meisten Besitzer jährlich zur Inspektion und spätestens alle zwei Jahre zum TÜV. Bei der eigenen Website hingegen machen sich viele Betreiber wenig Gedanken und erwarten dass WordPress jahrelang ohne Updates oder Anpassungen funktioniert. Leider ist das in Zeiten von dynamisch generierten Websites (auf Basis von PHP) kaum möglich. Nicht umsonst bemühen sich die meisten Hosting-Unternehmen wie zum Beispiel 1&1 Kunden zur Aktualisierung Ihrer PHP-Versionen zu animieren: Der Betrieb von alten PHP-Versionen kann ein Sicherheitsrisiko darstellen. Viele Hosting-Anbieter verlangen einen monatlichen Aufpreis, wenn Sie für auf dem Server betriebene Websites noch alte PHP-Versionen bereitstellen müssen. Oft können wir unseren Kunden durch Anpassungen in der Serverumgebung monatliche Kosten einsparen.

Kurz gesagt, Updates sind notwendig: sie enthalten Funktionsverbesserungen, aber auch – und das ist umso wichtiger – Sicherheitsanpassungen und Fehlerbeseitigungen. Wenn in alten Erweiterungen oder WordPress-Versionen Fehler gefunden werden, die Hacker zur Manipulation von Websites ausnutzen könnten, werden diese Fehler über Updates geschlossen. Größtenteils geschieht das ziemlich schnell; bei weit verbreiteten Plugins mit hohen Downloadzahlen werden Sicherheitsupdates meist innerhalb weniger Stunden oder Tage nach der Entdeckung der Sicherheitslücke veröffentlicht.

Das Aktualisieren von Plugins und Themes ist ebenfalls essenziell. Veraltete Plugins und Themes können Sicherheitslücken enthalten, die von Hackern ausgenutzt werden können. Durch regelmäßige Updates dieser Komponenten wird die Sicherheit der gesamten Website erhöht. Außerdem sollten nicht benutzte Plugins und Themes gelöscht werden, da auch inaktive Komponenten Sicherheitslücken aufweisen können, die von Hackern ausgenutzt werden könnten.

Wenn Sie Bedenken haben, Updates selbst durchzuführen, können Sie uns damit beauftragen. Wir empfehlen, regelmäßige Wartung durchzuführen, um die beste Sicherheit zu gewährleisten. Falls Sie mehr über unsere WordPress Wartungen erfahren möchten, besuchen Sie WordPress Wartung.

Warum hört man also gefühlt so häufig von gehackten WordPress-Websites?
Wir sehen den Grund hierfür in der Verbreitung von WordPress. Mit einem Marktanteil mehr als 60% unter den Content-Management-Systemen (Quelle: W3Techs) nutzen ein Großteil der Website-Betreiber WordPress als Basis für ihre Websites. Dementsprechend ist für Hacker die Planung und Durchführung von Angriffen auf WordPress-Websites deutlich lukrativer. Das ist in etwa vergleichbar mit der Tatsache, dass es mehr Trojaner und Viren für Windows-Computer gibt, als für auf MAC OS oder Linux-basierende Computer. Auch hier spielen die Marktanteile und damit die potenziellen Angriffsziele eine große Rolle.

WordPress Berechtigungen: Benutzergruppen richtig verwenden

Bei WordPress gibt es verschiedene Rollen für Benutzer, die nicht zuletzt auch eine Sicherheitsfunktion darstellen. Diese Ebene der Sicherheit wird oft unterschätzt und Rollen wie Administrator zu häufig an Nutzer verteilt, die diese Berechtigungsstufe gar nicht benötigen.

Zunächst einmal, welche Benutzergruppen gibt es eigentlich in WordPress und welche Rechte haben sie?

AdministratorRedakteurAutorMitarbeiterAbonnent
Benutzerrollen ändern und neu vergebenN
Plugins installierenN
WordPress Updates installierenN
Kategorien / Schlagwörter erstellen und bearbeitenNN
Seiten veröffentlichenNN
Seiten erstellenNN
Beiträge anderer Nutzer bearbeiten / veröffentlichenNN
Eigene Beiträge veröffentlichenNN
Fotos / Videos hochladenNNN
Eigene Beiträge erstellenNNNN
Kommentare zu allen Artikeln freischaltenNN
Kommentare zu eigenen Artikeln freischaltenNNN
Kommentare schreibenNNNNN

In der Tabelle sehen Sie, dass kritische Kernfunktionen von WordPress, wie die Installation von Plugins oder WordPress-Updates, Administratoren vorbehalten sind. Im Umkehrschluss heißt das aber auch, dass mit jedem Benutzerkonto, dem Sie Admin-Rechte gewähren, auch viel Schaden angerichtet werden kann.

Bedenken Sie dabei auch, dass der Schaden nicht einmal von einem Mitarbeiter bewusst verursacht werden muss. Häufiger passiert es, dass jemand aus Versehen einmal zuviel klickt (z. B. Plugin deaktiviert / gelöscht). Oder noch schlimmer: der Account wird gehackt und alle Rechte können vom Angreifer genutzt werden.

Daher ist es ratsam immer nur so viele Rechte zu gewähren, wie nötig. Haben Sie zum Beispiel einen Mitarbeiter der ausschließlich mit der Erstellung von Blog-Beiträgen betraut ist? Geben sie ihm lediglich Autor-Rechte. Achten Sie außerdem bei der Erstellung der Accounts auf starke Passwörter, da WordPress Brute-Force Angriffen genauso ausgeliefert ist, wie jede Web-Anwendung.

Sollten Ihnen die vorgegeben Rechte von WordPress zu unflexibel sein, gibt es immer noch die Möglichkeit mit Plugins wie User Role Editor einzelne Rollen besser einzuschränken bzw. weitere zu erstellen.

WordPress absichern: Starke Passwörter verwenden

Es mag offensichtlich und trivial klingen, aber die Verwendung starker Passwörter hilft die Sicherheit von WordPress deutlich zu erhöhen. Denn schlechte Passwörter sind nach wie vor einer der größten Schwachpunkte in IT-Systemen. Im Wikipedia Artikel Liste der häufigsten Passwörter finden Sie eine Übersicht – darunter „kreative“ Passwörter wie 1q2w3e4r oder 123qwe. Sie können davon ausgehen, dass Hacker-Skripte solche Listen als erstes durchprobieren werden. Verwenden Sie also am besten ausreichend lange, zufällig generierte Passwörter. Das ist seit einer Weile auch direkt in WordPress möglich.

Gehen Sie um automatisch ein sicheres Passwort zu generieren (als Administrator) in WordPress auf Benutzer und klicken dann einen Benutzer an, dessen Passwort geändert werden soll. Scrollen Sie nach unten zu Benutzerkonten-Verwaltung und klicken Sie hinter Neues Passwort auf den Button Passwort generierenWordPress erzeugt dann für Sie eine zufällige Kombination aus 24 Buchstaben, Zahlen und Sonderzeichen.

Tatsächlich eine Schwäche von WordPress ist, dass Brute-Force-Angriffen von Haus aus kein Riegel vorgeschoben wird. Das heißt ein Angreifer kann beliebig oft Passwörter durchprobieren, bis das korrekte erraten wurde. Bei einem zufällig generierten Passwort mit 24 Zeichen würde das zwar mehrere Jahrhunderte dauern, aber erfahrungsgemäß behält nicht jeder Benutzer auch das vom Administrator vorgegebene Passwort.

Wir raten daher dazu als weitere Sicherheitsmaßnahme die Anmeldeversuche begrenzen. Dazu eignen sich Plugins wie WP Limit Login Attempts, oder noch besser, ein umfassendes WordPress Security-Plugin wie Wordfence.

WordPress auf HTTPS umstellen

Eine weitere Sicherheitsmaßnahme, die viele WordPress-Nutzer nicht direkt als solche wahrnehmen, ist die Nutzung von SSL. Sie verhindern dadurch, dass die Passwörter aller Ihrer WordPress Nutzer unverschlüsselt über das Internet übertragen werden. Denn das stärkste Passwort hilft nichts, wenn jeder es mitlesen kann. Wir zeigen Ihnen, wie Sie in wenigen Minuten HTTPS in WordPress nutzen.

Nachdem Sie ein SSL-Zertifikat bei Ihrem Hoster beantragt haben, können Sie in den Einstellungen direkt WordPress auf HTTPS umstellen. Klicken Sie dazu als eingeloggter Administrator auf Einstellungen in der linken Leiste. In den allgemeinen Einstellungen finden Sie die URL Ihrer Website – stellen Sie sicher, dass dort https:// anstatt http:// steht. Sind alle Einstellungen korrekt, klicken Sie auf Änderungen speichern.

HTTPS in WordPress aktivieren

WordPress Sicherheit verbessern mit einem Security-Plugin

Es gibt in der IT-Sicherheit zwar keine Rundum-Glücklich-Lösung, aber zumindest können WordPress Security-Plugins einige potentielle Einfallstore verriegeln. Auf welche wichtigen Features sollten Sie also bei einem Sicherheits-Plugin für WordPress achten?

  • Brute-Force Schutz
    Der Schutz begrenzt unter anderem die Anzahl der Login-Versuche, damit ein Hacker / Bot nicht unbegrenzt oft Kombinationen aus Passwort und Benutzernamen durchprobieren kann
  • IP-Sperre / Blacklist
    Wird festgestellt, dass zu viele Zugriffe von einer IP-Adresse auf Ihre Website erfolgen, lässt diese Adresse sich sperren bzw. auf eine Blacklist setzen
  • Datei-Überwachung und Reparatur
    Falls Dateien von WordPress manipuliert wurden, z. B. durch Schadsoftware, weist das Plugin Sie darauf hin. Idealerweise bietet es gleich eine Reparatur der infizierten Dateien an
  • Firewall
    Sperrt nach gewissen Mustern Zugriffe auf Ihr WordPress
  • Zwei-Faktor-Login
    Eine ausgezeichnete Ergänzung zu Passwörtern, die oft unsicher sind, ist das zwei-Faktor-Login. Sie bekommen zur Anmeldung dann einen einmalig gültigen Code, z. B. über eine App wie Google Authenticator
  • Schutz vor geleakten Passwörtern
    Häufig werden Passwörter mehrfach verwendet – sollte ein solches Passwort in einer Liste im Internet auftauchen, kann ein Security-Plugin darauf hinweisen

Generell ist der Einsatz eines solchen Plugins also nur jedem Betreiber einer WordPress-Seite zu empfehlen, denn es deckt viele Punkte ab. Gerade der Brute-Force Schutz und Zwei-Faktor-Login können dazu beitragen, dass Accounts mit schwachen Passwörtern nicht effektiv übernommen werden können. Auch eine gute Idee ist die Dateiüberwachung und -reparatur – idealerweise als Ergänzung zu einer vollständigen Backuplösung für WordPress.

Als konkrete Plugin-Lösung setzen wir gerne Wordfence ein, da es zahlreiche Features bereits in der kostenfreien Version mitbringt. Eine gute und empfehlenswerte Alternative ist das Plugin All In One WordPress Security & Firewall, das in der kostenlosen Version ebenfalls viele Funktionen liefert. Aufgrund der etwas besseren Benutzeroberfläche und dem eingebauten Zwei-Faktor-Login ist Wordfence jedoch unsere Empfehlung.

Ist ein WordPress Security Plugin DSGVO-konform?

Wenn Sie ein Security-Plugin einsetzen, bedenken Sie jedoch, dass es gleichzeitig auch Daten sammeln muss um seine Arbeit zu tun. Um weiterhin mit der Datenschutzgrundverordnung (DSGVO) im Einklang zu sein, sollten Sie daher einen AV-Vertrag mit dem jeweiligen Anbieter abschließen, sofern Daten auch dorthin fließen. Für Wordfence hat der Entwickler Defiant eine Informationsseite zusammengestellt und einen entsprechenden Vertrag vorbereitet, den Sie nur noch ausfüllen brauchen. Ergänzen Sie zudem in Ihrer Datenschutzerklärung einen passenden Abschnitt um Ihre Nutzer aufzuklären.

Datei- und Serverrechte

Fehlerhaft konfigurierte Rechte für Dateien und Server können ein erhebliches Sicherheitsrisiko für Webseiten sein. Es kann vorkommen, dass unberechtigte Nutzer oder Angreifer auf Dateien oder Verzeichnisse zugreifen, Veränderungen vornehmen oder Schadsoftware enthalten. So könnten etwa fehlerhaft konfigurierte Rechte Angreifern die Möglichkeit geben, schädliche Skripte hochzuladen oder auszuführen. Daher ist es von Bedeutung, die Dateirechte korrekt zu definieren, damit nur autorisierte Nutzer Zugriff auf wichtige Dateien und Verzeichnisse haben und diese ändern können.

Es empfiehlt sich, die genauen Dateirechte entsprechend anzupassen, damit die notwendigen Funktionen der Website ordnungsgemäß arbeiten und das Risiko von Missbrauch minimiert werden kann. Dateien sollten beispielsweise 644 und Verzeichnisse 755 Berechtigungen haben.

Fazit

In unserem Beitrag haben wir Ihnen einen kompakten Überblick zum sehr komplexen Thema WordPress Security gegeben. Gleichzeitig war uns wichtig mit verbreiteten Mythen WordPress sei per se unsicher aufzuräumen. Wir haben Ihnen einige Maßnahmen gezeigt, die wir selbst in der Praxis verwenden und die auch Sie nutzen können, um Ihre Website abzusichern. Darunter wichtige Punkte wie starke Passwörter, empfehlenswerte Sicherheits-Plugins, durchgängige SSL-Verschlüsselung und regelmäßige Updates.

Wenn Sie wissen wollen, ob Ihre WordPress-Website vor Hackerangriffen sicher ist, kontaktieren Sie gerne unser Team. Wir prüfen Ihre WordPress-Website auf Herz und Nieren, beheben Schwachstellen und reduzieren durch geeignete Security-Plugins Sicherheitsrisiken.

Sollte Ihre Website bereits gehackt worden sein: wir beraten Sie gerne, wie Sie schnell wieder eine funktionsfähige und abgesicherte Website erhalten.

Die mobile Version verlassen